Un análisis reciente ha revelado que RansomHub es una versión actualizada del ransomware Knight, que a su vez es una evolución de otro ransomware conocido como Cyclops.
RansomHub, que se relaciona con 26 ataques confirmados solo en el mes de abril de 2024, ha sido asociado a una serie de ataques de ransomware en las últimas semanas, incluyendo el de Change Healthcare, Christie’s y Frontier Communications.
El ransomware Knight (también conocido como Cyclops 2.0) llegó por primera vez en mayo de 2023, usando tácticas de doble extorsión para robar y cifrar los datos de las víctimas con fines lucrativos. Es operativo en múltiples plataformas, incluyendo Windows, Linux, macOS, ESXi y Android.
RansomHub, que publicó a su primera víctima ese mismo mes, ha sido asociado a una serie de ataques de ransomware en las últimas semanas, incluyendo el de Change Healthcare, Christie’s y Frontier Communications.
Anunciado y vendido en el foro de cibercrimen RAMP, se ha descubierto que los ataques que involucran el ransomware utilizan campañas de phishing y spear-phishing como vector de distribución en forma de adjuntos maliciosos.
Se ha observado que los ataques de RansomHub utilizan fallas de seguridad conocidas (por ejemplo, ZeroLogon) para obtener acceso inicial y dejar software de escritorio remoto como Atera y Splashtop antes del despliegue del ransomware.
Mandiant, propiedad de Google, en un informe publicado esta semana, reveló que RansomHub está intentando reclutar afiliados que hayan sido afectados por cierres recientes o estafas de salida como la de LockBit y BlackCat.
Este desarrollo se produce en medio de un aumento en la actividad de ransomware en 2023 en comparación con una «ligera disminución» en 2022. El repunte en los ataques de ransomware sigue a la aparición de nuevas variantes de ransomware como BlackSuit, Fog y ShrinkLocker.
Estos ataques también se caracterizan por el uso de herramientas de escritorio remoto comerciales y legítimas para facilitar las operaciones de intrusión en lugar de depender de Cobalt Strike.
«Ambos payloads están escritos en Go y la mayoría de las variantes de cada familia están ofuscadas con Gobfuscate,» informó Symantec, parte de Broadcom, en un informe compartido con este medio.
Vía The Hacker News
